当前位置:首页 > 汽车电子 > 充电吧
[导读]日前,Tencent Blade Team披露LoRaWAN协议栈首个漏洞后,许多开发者咨询具体技术细节。Tencent Blade Team为大家做了进一步的技术解读。

日前,Tencent Blade Team披露LoRaWAN协议栈首个漏洞后,许多开发者咨询具体技术细节。Tencent Blade Team为大家做了进一步的技术解读。

从4月份向LoRa核心专利拥有者Semtech公司提交漏洞后,腾讯一直在积极关注漏洞修复进展,在确认该漏洞已被Semtech公司及主流LoRa生态厂商修复、对已有项目无较大安全风险情况下发布了该漏洞公告。

目前相关漏洞已经在LoRaMac-Node开源代码4.4.4版本中修复:https://github.com/Lora-net/LoRaMac-node/releases/tag/4.4.4,漏洞影响涉及4.4.2-rc.1到4.4.4之间的阶段版本,厂商可通过升级协议栈修复该漏洞。

以下是关于此漏洞的一些热门问题及腾讯专家给出的回答:

Q: 能否具体介绍下 LoRaDawn 漏洞的影响范围?

A: 这次披露的 LoRaDawn 漏洞主要存在于 LoRaMac-Node 参考代码中,这是 Semtech 公司于 Github 上开源的一个 LoRaWAN 节点协议栈的软件实现,该漏洞影响的代码由 4.4.2-rc.1版本引入,官方发布4.4.4版本已完成该漏洞的修复。

Q: 我们身边的 LoRaWAN 设备会受到影响吗?

A: 如果您使用的设备未使用4.4.2-rc1到4.4.4之间的阶段版本,那么就不存在相关风险。如果您的设备使用了4.4.2-rc1到4.4.4之间的阶段版本可能会受影响。漏洞发生在入网流程中,可对正在入网的设备造成危害;对于已经部署的项目,需要通过让设备重新发起入网请求之后才可以实施攻击,而让设备重新发起入网请求还需要其他方案配合,存在较高的攻击成本,如果不触发重新入网则不会造成危害。目前,官方已经发布了修复版本,受影响的厂商可通过升级协议栈版本修复该漏洞:https://github.com/Lora-net/LoRaMac-node/releases/tag/4.4.4

Q: 如果设备真的受到了漏洞攻击,会影响我的数据安全吗?

A: 攻击者无法获取LoRaWAN数据,在LoRaWAN协议层面上有比较强的安全性,因此这块不用担心。目前研究发现的后果是节点缓冲区溢出,导致无法入网成功或拒绝服务,使得节点在攻击期间无法上线或无法正常使用。攻击结束之后,如果设备带有异常恢复功能可以重新入网后恢复工作。

Q: 这个漏洞是 LoRaWAN 协议上的吗?

A: 这里需要关注协议和协议栈的区别,我们披露的漏洞是 LoRaWAN 节点开源协议栈的漏洞,它是软件执行代码。这次披露的 LoRaDawn 漏洞非 LoRaWAN 协议漏洞,而是节点侧协议栈实现的软件漏洞,目前漏洞已在此前发布的 4.4.4 的开源软件版本中进行修复。 LoRaWAN 协议经过几年的发展和全球技术专家的共同努力,在 V1.0.2 协议版本之后增加了对应的安全方案,大大提高了协议的安全性。

Q: 其他物联网技术也出现过安全漏洞吗?对我们的生活是否有影响?

A: 随着物联网的快速发展,诞生了许多新技术、新产品形态,也会有很多的厂商参与其中,那么在产品的研发、网络部署的过程中,难免会因为安全意识或者缺乏相关经验带来安全风险,像是此前4G模块、4G LTE、蓝牙芯片等都有曝出过安全漏洞。因此,在物联网发展的高速期,出现安全漏洞是正常也是事实,包括前几年热门的智能音箱、无人机、智能路由、智能摄像头等产品,都有被爆出过许多安全问题,可能导致用户隐私泄露等,从而对用户产生安全隐患。但通过积极的漏洞响应与修复,可以逐步规范化,使得产品会更加安全。存在安全问题不要紧,更重要的在于通过暴露的安全问题吸取经验提高自身产品的安全质量。


21IC家注意到,从2013年Semtech公司发布第一代商用LoRa芯片以来,LoRa技术凭借其低功耗、远距离等技术优势,近几年在全球物联网行业被广泛应用。2015年,由Semtech联合Actility、Cisco和IBM等多家厂商共同发起创立LoRa联盟,LoRaWAN协议是由LoRa联盟推动的一种低功耗广域网协议,将LoRaWAN进行了标准化,以确保不同国家的LoRa网络可以互操作,腾讯也是LoRa 联盟的主要成员之一。

据公开数据显示,截至2019年底,在LoRaWAN网络下已有7.3亿的设备连接,使用场景丰富。目前,LoRa在中国也已形成了中国联通、中国铁塔等运营商、腾讯、阿里、京东等互联网企业以及解决方案商、模块提供商和网关制造商等在内的丰富生态体系。


本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

业内消息,据洛图科技新一期《中国智能盒子线上零售市场追踪》报告,2023 年中国智能盒子(智能机顶盒)出货量惨淡,年度整体销量 313 万台,较 2022 年下降 27.5%。

关键字: 电视盒子 出货量 腾讯 小米 天猫魔盒

业内消息,近日北京市规自委官网显示,北京市海淀区学院路北端A、B、C、J地块B4综合性商业金融服务业用地、B23研发设计用地完成出让,最终由腾讯科技(北京)有限公司底价摘得,成交价格为底价64.2亿元。

关键字: 腾讯

最新消息,《英雄联盟》开发商拳头游戏(Riot Games)公司首席执行官 Dylan·Jadeja 近日发布全员信,表示将于近期裁员 11%,共涉及 530 名员工。

关键字: 英雄联盟 裁员 拳头游戏 腾讯

业内消息,近日深圳市迅雷网络技术有限公司及旗下深圳市迅雷网文化有限公司新增两则开庭公告,原告为腾讯科技(北京)有限公司、重庆腾讯信息技术有限公司,其中一起案件原告还包括深圳市腾讯计算机系统有限公司,案由均为不正当竞争纠纷...

关键字: 腾讯 迅雷

最新消息,昨天有网友反馈腾讯旗下《英雄联盟》《穿越火线》《英雄联盟手游》《地下城与勇士》《金铲铲之战》《和平精英》等游戏服务器崩溃,在线玩家全部掉线,掉线后重连有概率可以连上,但目前服务器仍然不稳定。

关键字: 英雄联盟 游戏 服务器 崩了 腾讯

最新消息,针对「字节跳动旗下游戏部门朝夕光年正与腾讯谈判出售多款游戏」一事,昨天晚间朝夕光年相关负责人回应称,相关团队还在与多个买家商谈项目出售事宜,至今尚未敲定任何与腾讯的交易。

关键字: 朝夕光年 腾讯 游戏 字节

业内消息,近日有外媒称Meta已与腾讯达成初步协议,将在中国销售价位较低的新款Quest VR设备。据悉,腾讯将于明年末开始销售,销售收入中Meta将获得更高比例的硬件销售额,腾讯将在内容和服务收入中占据更多份额,如软件...

关键字: Meta 腾讯 VR

业内消息,昨天据36氪报道称,从多个独立信源获悉,过去一段时间,暴雪与国内多家游戏厂商洽谈了“国服回归”事宜,最终选择与网易重新牵手合作。对此网易未予回应,此前,有知情者透露网易负责运营暴雪国服的团队已解散,短期重组可能...

关键字: 暴雪 网易 腾讯 国服 游戏 微软

业内消息,近日虎牙在提交给美国证券交易委员会(SEC)的文件中披露,通过其全资子公司与腾讯控股的全资子公司达成最终协议,以8100万美元的总现金对价从腾讯手中收购一家全球移动应用服务提供商的100%股权,但收购价格可能会...

关键字: 虎牙 收购 腾讯

最新消息,上周国家新闻出版署在官网发布《网络游戏管理办法(草案征求意见稿)》,向社会公开征求意见。公告发布后直接引起游戏行业巨震,下午 A 股、港股游戏板块集体闪崩,A 股中三七互娱、吉比特、完美世界等个股集体跌停。

关键字: 游戏 腾讯 网易
关闭
关闭